Đừng tin kết quả tìm kiếm đầu tiên: 8.500 người sập bẫy phần mềm AI giả mạo

[WhiteHat Team]

Tin tặc đang lợi dụng Google và các nền tảng quảng cáo để phát tán mã độc dưới dạng phần mềm phổ biến như ChatGPT, Zoom, Microsoft Office...

Trong những tháng gần đây, nhiều người dùng, đặc biệt là tại các doanh nghiệp vừa và nhỏ đã vô tình tải về các phần mềm độc hại vì bị đánh lừa bởi trang web giả mạo hiển thị trên top tìm kiếm Google. Đây là chiến thuật SEO poisoning, tạm hiểu là “đầu độc kết quả tìm kiếm”.

Kẻ xấu tạo ra các trang web trông như thật, chứa liên kết tải về các công cụ quen thuộc như PuTTY, WinSCP, ChatGPT, Zoom, Microsoft Teams... Tuy nhiên, khi người dùng tải về và cài đặt, một loại mã độc có tên Oyster hoặc Lumma Stealer sẽ âm thầm được cài vào máy.

Những con số biết nói​

• Từ tháng 1 đến tháng 4/2025, hơn 8.500 người dùng SMB bị nhắm đến qua các phần mềm giả
• Zoom chiếm 41% số tệp mã độc được ngụy trang, tiếp theo là Outlook và PowerPoint (16%), Excel (12%), Word (9%) và Teams (5%)
• Mã độc giả mạo ChatGPT tăng vọt 115% chỉ trong 4 tháng đầu năm

Cách thức tấn công diễn ra như thế nào?​

1. Giả mạo phần mềm quen thuộc
   Trang web giả thường sao chép giao diện giống hệt trang chính thức. Một số tên miền bị phát hiện gồm:
   • putty.run
   • puttyy.org
   • updaterputty.com
2. Lừa tải về tệp ZIP mã độc
   Khi truy cập, trình duyệt người dùng bị kiểm tra có dùng adblock không, sau đó bị chuyển hướng đến trang lừa đảo chứa tệp ZIP được đặt mật khẩu. Bên trong là bộ cài giả có kích thước lớn (khoảng 800MB) để qua mặt phần mềm diệt virus.
3. Cài mã độc vào hệ thống
   • Trên Windows: Dùng tập lệnh .bat, .dll, hoặc công cụ AutoIt để cài mã độc Lumma, Vidar hoặc RedLine.
   • Trên macOS: Phân phối Poseidon Stealer.
   • Một số loại mã độc còn có khả năng lấy cắp ví tiền điện tử, thông tin tài khoản, key đăng nhập và ghi lại thao tác bàn phím.

Chiến dịch quảng cáo giả trên Facebook và Google​

Không chỉ giới hạn ở kết quả tìm kiếm Google, tin tặc còn lợi dụng quảng cáo Facebook, giả mạo dưới dạng:

• Ứng dụng Pi Network
• Cửa hàng online giả mạo thương hiệu lớn
• Số điện thoại tổng đài hỗ trợ giả

Chúng dùng mánh khóe tinh vi như “ClickFix” để qua mặt CAPTCHA, hoặc chèn số điện thoại giả ngay trong trang hỗ trợ thật của các thương hiệu lớn như Apple, Netflix, Facebook...

Góc nhìn của chuyên gia​

Theo chuyên gia bảo mật của Bitdefender và Arctic Wolf, việc lợi dụng AI và các thương hiệu nổi tiếng để phát tán mã độc không mới nhưng ngày càng tinh vi hơn: Tin tặc hiểu rằng người dùng có xu hướng tin vào kết quả đầu tiên trên Google hoặc quảng cáo có logo thương hiệu quen thuộc. Chúng lợi dụng điều đó để lừa cài phần mềm giả, cướp dữ liệu mà người dùng không hề hay biết.

Trong thời đại AI bùng nổ, người dùng dễ bị hấp dẫn bởi những công cụ thông minh, tiện lợi. Nhưng chính điều đó lại trở thành mồi ngon cho tin tặc, khi các phần mềm giả mạo ngày càng tinh vi và khó phân biệt.

Theo chuyên gia WhiteHat, để bảo vệ mình khỏi các chiến dịch phát tán mã độc ẩn sau công cụ giả, người dùng cần ghi nhớ một số nguyên tắc cơ bản nhưng cực kỳ quan trọng:

• Chỉ tải phần mềm từ trang chính thức
• Kiểm tra kỹ tên miền vì nhiều website giả chỉ khác một ký tự
• Không nhấp vào quảng cáo trôi nổi, nhất là từ Google Ads hoặc Facebook Marketplace
• Luôn cài phần mềm diệt virus và cập nhật thường xuyên

Cuối cùng, công nghệ càng phát triển thì rủi ro cũng càng phức tạp. Mỗi người dùng không chỉ cần biết sử dụng AI mà còn phải học cách “phòng thân kỹ thuật số”: cẩn trọng, tỉnh táo và hiểu rõ các nguy cơ tiềm ẩn từ thế giới mạng, bởi trong thời đại số, chỉ một cú click sai lầm có thể trả giá bằng toàn bộ dữ liệu và quyền riêng tư của bạn.

Theo The Hacker News​